Le secteur des transports publics occupe une place centrale dans le bon fonctionnement des sociétés modernes. Il assure la mobilité des personnes, la connexion entre les territoires et l’accès à des services essentiels, tels que l’emploi, la santé ou l’éducation. L’efficacité et la sécurité de ces réseaux influencent directement l’attractivité des territoires et leur vitalité économique.
Avec l’accélération de la transformation numérique, les réseaux ferroviaires, les métros ou encore les plateformes billettiques s’appuient désormais sur des systèmes numériques de plus en plus sophistiqués, intégrant l’intelligence artificielle, l’IoT ou encore le cloud.
Au-delà de la gestion quotidienne de flux croissants, les opérateurs doivent désormais conjuguer innovation et sécurisation. Ils font face au défi de la digitalisation tout en garantissant un haut niveau de résilience face aux risques d’attaque, de fraude, de panne ou de crise majeure.
Dans ce contexte, la cybersécurité des transports publics s’impose comme un enjeu stratégique prioritaire, tant pour les acteurs publics que privés, afin de préserver la continuité des services, la sécurité des usagers et la confiance des citoyens.
Quels sont les principaux enjeux pour le secteur des transports publics ?
Le secteur des transports publics est exposé à un spectre large de risques, tant du point de vue physique que numérique. Cette pluralité de menaces s’inscrit dans une dynamique où la numérisation et l’interconnectivité des systèmes amplifient les vulnérabilités existantes ou en créent de nouvelles. La protection de ce secteur est devenue un enjeu de souveraineté nationale. Les risques se déclinent en quatre axes majeurs :
- Sécurité des usagers : L’intégration de systèmes automatisés génère de nouveaux vecteurs d’incidents, tels que le piratage de signalisations ou le blocage à distance de rames… Au-delà du risque technique, c’est directement la sécurité physique des voyageurs qui peut être engagée. Une IA spécialisée, conçue pour effectuer une tâche précise, sera souvent plus frugale qu’une IA générative grand public capable de répondre à des usages variés.
- Maintien du niveau de service : La continuité d’exploitation est vitale. Un arrêt de la billetterie ou une paralysie de la gestion du trafic engendre des coûts économiques importants et une désorganisation du territoire. La résilience opérationnelle devient donc un critère clé de performance pour les opérateurs.
- Lutte contre la fraude : Les plateformes digitales sont exposées à la falsification de titres de transport et à la manipulation de comptes usagers, impactant l’image et les finances des opérateurs. La digitalisation des parcours usagers amplifie mécaniquement cette surface d’exposition.
- Convergence IT/OT : L’interconnexion entre l’informatique traditionnelle (IT) et les technologies industrielles (OT) permet à des attaquants d’exploiter à distance des systèmes historiquement isolés comme les commandes industrielles. Cette convergence constitue aujourd’hui l’un des principaux facteurs d’augmentation du risque cyber dans les transports.
- Conformité réglementaire : La directive européenne NIS 2 impose désormais des obligations accrues en matière de gestion des risques et de notification d’incidents. Le cadre réglementaire franchit ainsi un cap en matière d’exigence et de responsabilité des opérateurs.
Une menace de la cybersécurité des transports publics bien réelle
Le secteur des transports publics est de plus en plus exposé aux risques de cyberattaques, qui touchent aussi bien les grandes métropoles que les villes de taille intermédiaire, équivalentes à la ville Strasbourg. La réalité de cette menace est illustrée par des chiffres précis et par plusieurs incidents survenus ces dernières années.
De janvier 2020 à décembre 2024, l’ANSSI a traité 123 événements de sécurité d’origine cyber affectant des entités du secteur des transports urbains (ferroviaire, routier, guidé, fluvial). Parmi eux, 91 signalements de sécurité et 32 incidents avérés ont été recensés. Ce volume élevé souligne l’intensification des cybermenaces dans le secteur et la nécessité d’une vigilance renforcée pour l’ensemble des exploitants et autorités organisatrices de mobilité.
- Transport for London (septembre 2024) : Une attaque par ransomware a suspendu la vente de billets en ligne et compromis des données personnelles (noms, adresses, informations bancaires). L’impact financier s’est élevé à près de 30 millions de Livres.
- Ville d’Olsztyn (2023) : Une cyberattaque a simultanément bloqué la billetterie, l’affichage des horaires et a forcé les feux de signalisation en mode automatique, perturbant la mobilité de milliers d’usagers.
- Honolulu (2022) : Une panne majeure des systèmes GPS et des lecteurs de cartes a entraîné des pertes financières directes, les utilisateurs n’étant plus facturés durant l’incident.
Ces événements confirment une tendance de fond : la cybersécurité des transports publics est devenue un enjeu opérationnel critique pour l’ensemble du secteur.
Source ANSSI
Un écart persistant entre perception et préparation
Face à la multiplication et à la diversification des cybermenaces, la mise en place d’une stratégie de sécurisation globale et structurée est désormais une nécessité pour l’ensemble des acteurs des transports publics et des infrastructures critiques.
Une étude de 2023 du Mineta Transportation Institute (MTI) révèle un écart préoccupant entre le sentiment de préparation affiché par les opérateurs et la réalité des dispositifs de cybersécurité en place :
- L’étude montre que plus de 80 % des sociétés de transport en commun se sentent préparées à faire face à une cybermenace, alors que seulement 60 % d’entre elles disposent effectivement d’une stratégie de cybersécurité documentée. Ce décalage traduit une confiance parfois excessive, alors que des vulnérabilités structurelles persistent à différents niveaux.
- 47 % affirment procéder à un audit de leur programme au moins une fois par an, une fréquence encore trop faible au vu de l’évolution rapide des menaces.
- Plus de 50 % ne conservent pas les journaux d’événements plus d’un an, alors que la rétention de logs longue durée est l’un des piliers de la préparation à la cybersécurité et de la capacité à remonter une attaque ou une compromission ancienne.
- Plus inquiétant encore, 36 % ne disposent pas d’un plan de reprise d’activité (PRA) après sinistre numérique, exposant l’organisation à des interruptions prolongées en cas d’incident grave.
- Enfin, 67 % n’ont pas mis en place de plan de communication spécifique pour le cas d’une crise cyber, exposant ainsi l’autorité ou l’exploitant au risque d’une crise de confiance auprès des usagers, des partenaires et des médias.
Ce décalage entre perception et niveau réel de préparation constitue aujourd’hui un point de vigilance majeur.
Source Mineta Transportation Institute, Cybersecurity in Public Transportation: Risks and Preparedness, 2023.
Quelles priorités pour renforcer la cybersécurité des transports publics ?
Au regard des menaces identifiées, l’ANSSI, dans son document CERTFR-2025-CTI-005, recommande d’adopter une approche globale et structurée de la cybersécurité, fondée en priorité sur la compréhension des risques, la maîtrise des systèmes d’information et le renforcement des capacités de résilience.
Structurer la gestion des risques et la connaissance du système d’information
La première étape consiste à disposer d’une vision claire de son système d’information et de son écosystème. Cela passe par la réalisation d’une cartographie complète des actifs, des flux, des dépendances (notamment vis-à-vis des prestataires) ainsi que par la conduite d’analyses de risques régulières. Cette approche permet d’identifier les actifs critiques, d’évaluer les menaces et de prioriser les mesures de sécurité à mettre en œuvre.
Intégrer la sécurité dès la conception et dans la chaîne de sous-traitance
La cybersécurité doit être prise en compte dès la phase de conception des systèmes et des projets. Cela implique d’intégrer des exigences de sécurité dans le cahier des charges, de sécuriser le développement et de garantir le maintien en condition de sécurité dans la durée. Une attention particulière doit également être portée aux prestataires et à la chaîne d’approvisionnement, qui constituent des vecteurs d’attaque majeurs.
Renforcer l’architecture de sécurité et le cloisonnement des systèmes
La réduction de la surface d’attaque repose sur une architecture sécurisée, incluant le cloisonnement des systèmes d’information (IT, OT, métiers) et le filtrage strict des flux. La mise en place de zones de sécurité, de passerelles contrôlées vers internet et de mécanismes de protection adaptés permet de limiter la propagation d’une attaque et de contenir ses impacts.
Maîtriser les accès et protéger les données sensibles
La gestion des identités et des accès constitue un pilier essentiel de la sécurité. Elle repose sur l’identification unique des utilisateurs, la mise en place de politiques de mots de passe robustes et le déploiement d’une authentification forte pour les accès sensibles. En parallèle, les données doivent être protégées, notamment par des mécanismes de chiffrement, afin de garantir leur confidentialité et leur intégrité.
Détecter les incidents et maintenir un niveau de sécurité dans le temps
La mise en place de dispositifs de journalisation et de détection permet d’identifier rapidement les comportements anormaux et de réagir avant qu’un incident ne produise des effets majeurs. Cette capacité repose notamment sur la centralisation des journaux, la supervision des événements de sécurité et le maintien en condition de sécurité des systèmes. (Mises à jour, correctifs, durcissement des configurations).
Renforcer la résilience et la capacité de réaction face aux incidents
Enfin, la capacité à faire face à une cyberattaque constitue un enjeu central pour les opérateurs de transport. Cela implique de prévoir des modes de fonctionnement dégradés, de mettre en place des plans de continuité et de reprise d’activité (PCA/PRA), ainsi que des dispositifs de sauvegarde adaptés. La préparation à la gestion de crise, notamment via des exercices réguliers, est également essentielle pour garantir une réaction rapide et coordonnée en cas d’incident.
Développer une culture de cybersécurité au sein des organisations
La cybersécurité repose également sur les comportements humains. La sensibilisation des collaborateurs, en particulier face aux menaces courantes telles que le phishing ou les supports malveillants, constitue un levier clé pour réduire les risques de compromission des systèmes d’information.
L’approche Willing : renforcer la résilience opérationnelle
Face à ces enjeux, Willing accompagne les acteurs du transport dans une logique de sécurisation en profondeur, combinant gouvernance, technique et culture cyber.
Stratégie et gouvernance cyber : Willing accompagne la définition de stratégies cybersécurité alignées sur les enjeux du transport public, incluant la mise en place de feuilles de route SSI et d’une gouvernance structurée (KPI, comités, pilotage des risques) à l’échelle des organisations.
Audit, diagnostic et analyse de maturité : Des diagnostics de maturité, audits de conformité (NIS2, ISO 27001…) et analyses de risques afin d’objectiver le niveau d’exposition et de prioriser les actions de sécurisation.
Plan de continuité d’activité : Willing intervient dans la structuration et le renforcement des dispositifs de continuité d’activité en identifiant les processus critiques et en réalisant des analyses d’impact (BIA). Sur cette base, des PCA/PRA adaptés sont définis afin de garantir une reprise d’activité réaliste et opérable en cas d’incident.
Exercices de crise cyber : Willing réalise des exercices de gestion de crise afin de tester la coordination entre les équipes métiers, IT/OT et la direction. Ces simulations permettent de passer d’une posture théorique à une capacité opérationnelle réelle face à des scénarios impactant la continuité du service.
Intégration de la sécurité dans les projets : Nous intervenons pour intégrer la cybersécurité dès la conception des projets de transformation (cloud, data, systèmes embarqués), avec la définition d’architectures adaptées aux environnements IT/OT et la mise en place de bonnes pratiques de sécurisation.
Pilotage et accompagnement du changement : Willing accompagne le pilotage de programmes cybersécurité et la conduite du changement, en sensibilisant les différentes populations et en inscrivant la cybersécurité comme un levier de fiabilité et de confiance au service des usagers.
La sécurisation des transports face aux cybermenaces est aujourd’hui une priorité stratégique et opérationnelle.
La diversité et la gravité des risques, illustrées par les incidents récents, imposent une approche globale, continue et collaborative de la cybersécurité, articulée autour de la prévention, de la détection, de la réaction et de la gestion de crise. Dans un contexte de transformation numérique accélérée, la capacité d’anticipation et de résilience devient un facteur clé pour les opérateurs. Les exercices de crise associés à une gouvernance renforcée et à des plans d’actons structurés, constituent des leviers essentiels pour garantir une transformation numérique maîtrisée et assurer la continuité du service ainsi que la confiance des usagers.